Partager via

Vue d’ensemble des problèmes qui peuvent se produire lorsque des partages administratifs sont manquants

  • Article

Cet article fournit une résolution des problèmes qui peuvent se produire lorsque des partages administratifs sont manquants.

Numéro de base de connaissances d’origine : 842715

Résumé

Cet article décrit les symptômes qui peuvent se produire lorsqu’un ou plusieurs partages d’administration masqués sont manquants sur votre ordinateur. L’article fournit également des informations sur la résolution de ce problème.

Si vous avez déjà déterminé que votre ordinateur manque un ou plusieurs des partages d’administration masqués, consultez les sections « Cause » et « Résolution ». Sachez que les partages administratifs manquants indiquent généralement que l’ordinateur en question a été compromis par des logiciels malveillants. Nous vous recommandons de mettre en forme et de réinstaller Windows sur des serveurs compromis.

Symptômes

Vous pouvez rencontrer divers problèmes lorsque des partages administratifs sont supprimés ou sont absents de votre ordinateur.

Si vous utilisez la commande de partage net ou MPSReports, la sortie peut indiquer que votre ordinateur ne dispose pas du partage IPC$, ADMIN$ou C$. Si vous recréez un partage manquant, il est possible qu’il soit à nouveau manquant après le démarrage ou l’ouverture de session suivant. Ce problème peut se produire même si vous définissez les valeurs DWORD du Registre AutoShareServer et AutoShareWks sur 1.

Vous trouverez peut-être des processus inconnus qui démarrent à partir du dossier De démarrage ou de la clé d’exécution dans le Registre. Les logiciels antivirus peuvent détecter des virus, des vers, des Troie ou des portes dérobées. Ou la racine FTP sur un serveur web peut être remplie de fichiers inconnus.

La liste suivante est une liste complète du comportement problématique qui peut être associé à ce problème.

  • Si l’ordinateur concerné est un contrôleur de domaine, vous pouvez recevoir des messages d’erreur sur les ordinateurs clients pendant l’ouverture de session réseau ou pendant les périodes où ils essaient de rejoindre le domaine. Parfois, vous pouvez vous connecter avec des ordinateurs clients, mais vous pouvez recevoir un message d’erreur similaire à l’une des opérations suivantes :

    • Le mot de passe de domaine que vous avez fourni n’est pas correct ou l’accès à votre serveur d’ouverture de session a été refusé.

    • Le serveur d’ouverture de session n’a pas reconnu votre mot de passe de domaine ou l’accès au serveur a été refusé.

    • Aucun serveur d’ouverture de session n’est disponible pour le service de la demande d’ouverture de session.

      Lorsque vous essayez de joindre le domaine, vous pouvez recevoir un message d’erreur similaire à :

      L’erreur suivante s’est produite lors de la tentative de jonction du domaine « Domain_Name » : le nom du réseau est introuvable.

  • Lorsque vous essayez d’accéder ou d’afficher l’ordinateur affecté à distance à l’aide d’un chemin UNC, d’un lecteur mappé, d’une commande net use, de la commande d’affichage net ou en parcourant le réseau dans le quartier réseau ou mes emplacements réseau, vous pouvez recevoir un message d’erreur similaire à l’un des éléments suivants :

    • Le serveur n’est pas configuré pour les transactions.

    • Erreur système 53. Le chemin d’accès réseau est introuvable.

    • Domain_Name n’est pas accessible.

  • Vous pouvez recevoir des erreurs lorsque vous essayez d’effectuer des tâches d’administration sur un contrôleur de domaine. Par exemple, les composants logiciels enfichables MMC tels que Utilisateurs et ordinateurs Active Directory ou les sites et services Active Directory peuvent ne pas démarrer, et vous pouvez recevoir un message d’erreur similaire à celui suivant :

    Impossible de localiser les informations d’affectation de noms, car la tentative de connexion a échoué.

  • Lorsque vous essayez d’ajouter un utilisateur à un groupe de sécurité, vous pouvez recevoir un message d’erreur similaire à :

    Le sélecteur d’objets ne peut pas s’ouvrir, car aucun emplacement à partir duquel choisir des objets peut être trouvé.

  • Lorsque vous essayez d’exécuter Netdom.exe pour rechercher les rôles FSMO, vous pouvez recevoir un message d’erreur similaire à celui suivant :

    Impossible de mettre à jour le mot de passe. La valeur fournie en tant que mot de passe actuel est incorrecte.

  • Lorsque vous essayez d’exécuter Dcdiag.exe, vous pouvez recevoir un message d’erreur similaire à celui suivant :

    Échec avec 67 : Le nom du réseau est introuvable

    Les résultats de Dcdiag.exe peuvent également répertorier les erreurs de liaison LDAP similaires à celles suivantes :

    Échec de la liaison LDAP avec l’erreur 1323.

  • Lorsque vous essayez d’exécuter Netdiag.exe, vous pouvez recevoir un message d’erreur similaire à :

    DC list test. . . . . . . . . . . Échec :
    Échec de l’énumération des contrôleurs de domaine à l’aide du navigateur. [NERR_BadTransactConfig]

  • Si vous exécutez une trace réseau lorsque vous essayez de vous connecter à l’ordinateur concerné, vous pouvez voir les résultats similaires à ceux suivants :

    C session setup & X, Username = username, and C tree connect & X, Share = \\<Server_Name>\IPC$  
R session setup & X - DOS Error, (67) BAD_NET_NAME

  • Sur le serveur, le service WINS peut ne pas démarrer ou la console WINS peut afficher un X rouge ou les deux.

  • Les événements NetBT 4311 similaires aux événements suivants peuvent être enregistrés dans l’Observateur d’événements :

    ID d’événement : 4311
    Source d’événement : NetBT
    Type d’événement : Erreur
    Description : Échec de l’initialisation, car le périphérique de pilote n’a pas pu être créé

  • La console de gestion des licences des services Terminal Services peut ne pas démarrer et vous pouvez recevoir un message d’erreur similaire à ce qui suit :

    • Aucun serveur de licence Terminal Services n’est disponible dans le domaine ou le groupe de travail actuel. Pour vous connecter à un autre serveur de licences, cliquez sur licence, cliquez sur Se connecter, puis sur le nom du serveur.

    • L’adresse réseau n’est pas valide

Cause

Ces problèmes peuvent se produire après qu’un programme malveillant supprime les partages d’administration sur un ordinateur exécutant Windows Server.

Fréquemment, les utilisateurs malveillants se connectent à ces partages administratifs en tirant parti des mots de passe faibles, des mises à jour de sécurité manquantes, une exposition directe de l’ordinateur à Internet ou une combinaison de ces facteurs. Les utilisateurs malveillants installent ensuite des programmes malveillants pour étendre leur influence sur l’ordinateur et sur le reste du réseau de l’ordinateur. Dans de nombreux cas, ces programmes malveillants suppriment les partages administratifs en tant que déplacement défensif pour empêcher d’autres utilisateurs malveillants concurrents de prendre le contrôle des systèmes infectés.

L’infection par l’un de ces programmes malveillants peut provenir directement d’Internet ou d’un autre ordinateur sur le réseau local infecté. Il indique généralement que la sécurité sur le réseau est faible. Par conséquent, si vous voyez ces symptômes, nous vous recommandons d’examiner tous les autres ordinateurs sur le réseau pour détecter les programmes malveillants à l’aide de logiciels antivirus et d’outils de détection de logiciels espions. Nous vous recommandons également d’effectuer une analyse de sécurité pour identifier les vulnérabilités sur le réseau. Consultez la section « Résolution » pour plus d’informations sur la détection de programmes malveillants et sur l’analyse de la sécurité réseau.

Un exemple de programme malveillant qui cible des partages administratifs est le Win32.Agobot programme.

Microsoft fournit les informations de contacts tiers pour vous aider à trouver un support technique. Ces informations de contact peuvent changer sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant ces contacts tiers.

Note

Le Win32.Agobot programme n’est qu’un exemple. Les programmes malveillants deviennent obsolètes lorsque les fournisseurs antivirus les découvrent et les ajoutent à leurs définitions de virus. Toutefois, les utilisateurs malveillants développent fréquemment de nouveaux programmes et variantes pour éviter la détection par logiciel antivirus.

Résolution

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le Registre dans Windows

Pour vérifier si un ordinateur est affecté par ce problème, procédez comme suit :

  1. Examinez les valeurs de Registre AutoShareServer et AutoShareWks pour vous assurer qu’elles ne sont pas définies sur 0 :

    1. Cliquez sur Démarrer, sur Exécuter, tapez regedit, puis appuyez sur Entrée.
    2. Recherchez la sous-clé de Registre suivante, puis cliquez dessus : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
    3. Si les valeurs DWORD AutoShareServer et AutoShareWks dans la sous-clé LanmanServer\Parameters sont configurées avec des données de valeur de 0, remplacez cette valeur par 1.

      Note

      Si ces valeurs n’existent pas, vous n’avez pas besoin de les créer, car le comportement par défaut consiste à créer automatiquement les partages administratifs.

    4. Quittez l'Éditeur du Registre.

  2. Redémarrez l'ordinateur. En règle générale, les ordinateurs exécutant Windows Server créent automatiquement les partages d’administration au démarrage.

  3. Une fois l’ordinateur redémarré, vérifiez que les partages administratifs sont actifs. Pour examiner les partages, utilisez la commande de partage net. Pour ce faire, procédez comme suit :

    1. Cliquez sur Démarrer, sur Exécuter, tapez cmd, puis appuyez sur Entrée.

    2. À l’invite de commandes, tapez le partage net, puis appuyez sur Entrée.

    3. Recherchez les partages d’administration Admin$, C$ et IPC$ dans la liste des partages.

Si les partages administratifs ne sont pas répertoriés, l’ordinateur peut exécuter un programme malveillant qui supprime les partages au démarrage. Pour rechercher des programmes malveillants, procédez comme suit :

  1. Utilisez les dernières définitions de virus pour exécuter une analyse antivirus complète sur l’ordinateur. Vous pouvez utiliser votre logiciel antivirus ou utiliser l’un des services d’analyse antivirus gratuits disponibles sur Internet. Consultez la section « Plus d’informations » pour obtenir des liens vers des mises à jour de définition de virus et pour libérer des analyses en ligne auprès des fournisseurs de logiciels antivirus.

    Important

    Si vous pensez qu’un ordinateur est infecté par du code malveillant, nous vous recommandons de le supprimer du réseau dès que possible. Nous vous recommandons de le faire, car un utilisateur malveillant peut utiliser l’ordinateur infecté pour démarrer des attaques par déni de service distribué (DDoS), envoyer un e-mail commercial non sollicité ou partager des copies illégales de logiciels, de musique et de films.

  2. Si l’analyse antivirus identifie un programme malveillant sur le système, utilisez les instructions de suppression du fournisseur antivirus. En outre, passez en revue l’évaluation des menaces et les détails techniques sur le programme sur le site web de votre fournisseur antivirus. En particulier, vérifiez si le programme inclut une fonctionnalité de porte dérobée. La fonctionnalité de porte dérobée signifie que le programme permet à l’utilisateur malveillant de reprendre le contrôle du système si le programme est découvert et supprimé.

    Si les détails techniques sur le programme indiquent qu’il dispose d’une fonctionnalité de porte dérobée, nous vous recommandons de mettre en forme le disque dur de l’ordinateur et de réinstaller Windows en toute sécurité. Pour plus d’informations sur l’amélioration de la sécurité des ordinateurs et des serveurs Windows, consultez le Centre d’aide sur la sécurité Microsoft suivant

  3. Si l’analyse antivirus n’identifie pas un programme malveillant sur le système, cela ne signifie pas que l’ordinateur n’est pas infecté par un programme malveillant. Plus probablement, cela peut signifier que le programme malveillant est un nouveau programme ou une variante, et que les dernières définitions de virus ne le détectent pas. Dans ce cas, contactez le fournisseur antivirus pour signaler le problème, ou ouvrez un incident de support auprès des services de support technique Microsoft (PSS) pour examiner.

  4. Une fois l’analyse antivirus terminée, examinez l’ordinateur pour d’autres programmes malveillants, tels que les logiciels espions ou les outils utilisateur malveillants. Consultez la section « Plus d’informations » pour obtenir des liens vers des logiciels espions et des outils de détection d’utilisateurs malveillants.

  5. Microsoft fournit les informations de contacts tiers pour vous aider à trouver un support technique. Ces informations de contact peuvent changer sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant ces contacts tiers.